Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union hat die Landschaft des Datenschutzes radikal verändert, seit sie im Mai 2018 in Kraft getreten ist. Einer ihrer zentralen Artikel ist Artikel 28, der sich mit der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter befasst.
Was ist Artikel 28 der DSGVO?
Artikel 28 der DSGVO regelt die Beziehung zwischen dem Verantwortlichen (demjenigen, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet) und dem Auftragsverarbeiter (einer externen Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet).
Schlüsselelemente von Artikel 28
- Sorgfältige Auswahl des Auftragsverarbeiters: Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter ausreichende Garantien bietet, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten.
- Schriftliche Vereinbarung: Es muss eine schriftliche Vereinbarung oder ein anderer Rechtsakt zwischen dem Verantwortlichen und dem Auftragsverarbeiter existieren, in dem die Datenverarbeitungsdetails festgelegt sind.
- Einhaltung der Anweisungen: Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen verarbeiten.
- Unterverarbeiter: Die Verwendung von Unterverarbeitern durch den Auftragsverarbeiter bedarf der Zustimmung des Verantwortlichen.
- Datensicherheit: Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten.
Warum ist Artikel 28 wichtig?
Risikomanagement
Durch die Festlegung klarer Verantwortlichkeiten und Anforderungen trägt Artikel 28 dazu bei, das Risiko von Datenschutzverletzungen zu minimieren. Dies schützt sowohl die Rechte der betroffenen Personen als auch die Reputation der beteiligten Organisationen.
Rechtskonformität
Die Einhaltung von Artikel 28 ist entscheidend für die Gesamt-Compliance mit der DSGVO. Verstöße können zu erheblichen Bußgeldern führen, die bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens betragen können.
Vertrauensbildung
In einer Zeit, in der Datenschutz zunehmend an Bedeutung gewinnt, hilft die Einhaltung von Artikel 28, das Vertrauen der Kunden und Geschäftspartner zu stärken.
Was passiert bei Verstössen gegen den Datenschutz?
Nach Artikel 28 der DSGVO ist der Auftragsverarbeiter nicht direkt für die Meldung einer Datenpanne an die Aufsichtsbehörden verantwortlich. Stattdessen liegt diese Verantwortung beim Verantwortlichen (Data Controller). Allerdings hat der Auftragsverarbeiter (Data Processor) wichtige Pflichten im Falle einer Datenpanne:
- Benachrichtigung des Verantwortlichen: Der Auftragsverarbeiter muss den Verantwortlichen „unverzüglich“ nach Feststellung einer Datenpanne informieren. Dies ermöglicht es dem Verantwortlichen, die Situation zu bewerten und entsprechende Schritte zu unternehmen.
- Bereitstellung von Informationen: Der Auftragsverarbeiter muss alle relevanten Informationen über die Datenpanne zur Verfügung stellen. Dazu gehören die Art der Datenpanne, welche Daten betroffen sind, mögliche Auswirkungen und Maßnahmen zur Behebung der Sicherheitslücke.
- Unterstützung bei der Bewältigung der Datenpanne: Obwohl der Auftragsverarbeiter nicht direkt für die Meldung der Datenpanne verantwortlich ist, muss er den Verantwortlichen bei der Bewältigung der Panne unterstützen. Dies kann die Untersuchung der Ursache, die Mitteilung an die betroffenen Personen und die Umsetzung von Maßnahmen zur Verhinderung zukünftiger Vorfälle beinhalten.
- Dokumentation der Datenpanne: Der Auftragsverarbeiter sollte alle Vorfälle dokumentieren, einschließlich der Tatsachen, Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation kann für den Verantwortlichen von Bedeutung sein, insbesondere wenn er die Datenpanne bei der zuständigen Aufsichtsbehörde melden muss.
- Einhaltung der vertraglichen Vereinbarungen: Der Auftragsverarbeiter muss sicherstellen, dass seine Maßnahmen im Einklang mit den vertraglichen Vereinbarungen mit dem Verantwortlichen stehen. Dies beinhaltet die Einhaltung spezifischer Anweisungen oder Prozeduren, die im Vertrag festgelegt wurden.
Es ist wichtig zu betonen, dass der Verantwortliche die primäre Verantwortung für die Meldung der Datenpanne an die zuständige Datenschutzaufsichtsbehörde und gegebenenfalls an die betroffenen Personen trägt. Der Auftragsverarbeiter spielt jedoch eine entscheidende Rolle, indem er den Verantwortlichen mit den notwendigen Informationen und Unterstützung versorgt, um diesen Pflichten nachzukommen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Datenschutzberatung, Auditing und internationalen Datentransfer (TIA). Machen Sie kurzfristig einen Termin aus: